在日漸火熱的資料庫安全領域,資料庫審計應該是應用最為廣泛,使用者接受度最高的産品了,沒有之一。
本文将對目前資料庫審計市場上的兩類技術路線進行分析,從使用效果出發,淺析兩者在各次元的審計效果上存在哪些差異,呈現産品真正能實作的功能和價值。希望能為廣大使用者在資料庫審計産品的選型上提供參考依據。
概括來講,兩類資料庫審計的技術路線差別,根本來自于兩者的部署方式、擷取資料庫通路記錄的途徑不同以及SQL解析方式不同,審計效果自然不同。
旁路式VS植入式
從5個衡量次元看技術路線的差異
衡量兩種技術路線的差異,可以從兩類産品在真實測試中的功能表現上能夠更直覺的呈現。下面從5個主要的衡量次元來看基于兩類技術路線的審計效果表現,這幾個次元也是業内對專業資料庫審計産品評判中普遍遵循的主要衡量名額。
1. 審計結果全面性的表現
旁路式:通過鏡像流量或探針的方式進行全流量采集,基于全量資料庫流量進行語句和會話分析,再通過對sql語句的協定解析,能夠審計到用戶端資訊,傳回結果集。這種采集方式首先對資料庫類型不挑剔,均可支援,并且能夠審計到普通使用者和超級使用者的通路行為。
植入式:屬于注冊代理程式的“侵入式”審計,利用資料庫的自審計插件(如Oracle的FGAC插件),讀取資料庫自審計日志,依賴的是資料庫自身審計能力,這裡有一個很大的問題,如果資料庫自身不具備審計能力,那麼這類資料庫審計産品就無法支援對此類型資料庫的審計;并且,資料庫自審計功能一般隻提供增、删、改、查語句和部分資料定義語句,無法提供全操作類型的審計,也無法完整審計結果集。不過從另一個角度來看,植入方式也有其亮點——本地操作的審計,這些不通過網絡的流量,傳統的流量鏡像方式捕獲不到,不過旁路式的審計,也可以通過增加rmagent,實作這項功能。
2. 審計結果準确性的表現
前面提到,兩者對資料庫通路的采集方式不同,這決定了兩者在審計結果準确性上的差異表現。
旁路式:由于是基于全流量的審計,如果能配合sql語句的協定解析和特征捕獲等技術,可以準确關聯語句和會話,進行精确的審計結果查詢分析能力;準确關聯應用使用者與SQL語句,這樣可以實作對業務行為的審計。在此基礎上形成的規則庫,也能夠更準确的識别風險通路及漏洞攻擊行為。
植入式:由于是基于正規表達式完成SQL語句規則,無法基于通訊協定解析命中語句規則,在實際工作中,會導緻語句和會話無法關聯,不能按照會話進行語句梳理彙總,那麼會缺乏連貫分析能力;并且,由于不是基于流量和協定的SQL語句解析,對于目前使用者普遍要求的應用關聯審計,也無法實作。
3. 檢索及入庫速度的表現
基于SQL語句的擷取方式不同,兩者在檢索及入庫速度方面也會存在差異表現。
植入式:由于原始審計資訊是記錄在資料庫中的,需要定期擷取到審計裝置上,這其中可能産生較大的延遲。另一方面,開啟資料庫自審計功能本身會占用大量記憶體,如果遇到高壓力并發的情況,會拖慢資料處理能力,連累正常業務通路。
旁路式:旁路鏡像流量的方式對應用到資料庫的通路完全透明,不會産生影響,這也是目前市面上大多數審計廠商如安華金和等,選擇旁路鏡像方式,配合精确SQL解析技術來實作審計高可用性的主要原因之一。
4. 關于存儲空間的占用表現
旁路式:由于是鏡像方式擷取流量,對于審計産品本身的存儲優化能力有一定要求,但不會影響資料庫伺服器本身的存儲空間,需要考量對比的是産品本身能否提供歸一化技術和壓縮存儲技術,以節約存儲空間。
植入式:由于需要開啟自審計功能,需要占用大量資料庫本身的存儲空間,如果同時缺乏SQL歸一技術,那麼在大資料處理情況下,資料庫本身的硬碟空間就會非常緊張。
5. 産品易用性方面的表現
兩者在配置和操作的易用性方面也存在較大差異。
植入式:資料庫審計産品在注冊執行個體的時候,需要手工輸入IP端口資料庫執行個體,還需要sys使用者及密碼,向資料庫中注冊使用者及程式。另一方面,如果是基于正則式的規則配置,需要資料庫管理人員具備一定的技術能力,深度參與規則和政策的配置定義。
旁路式:由于是基于資料庫流量的語句文法解析,可以自動識别并添加審計資料庫;更專業的産品應能夠基于解析結果,從風險、語句、會話三個次元進行深度解析,次元之間互相關聯、多重鑽取分析,這樣使用者可以對資料庫的整體安全狀态有更直覺的判斷。
目前,市場上的資料庫審計産品多以旁路鏡像方式為主,但也出現了采用植入式技術路線的産品。從表面來看都能夠實作資料庫通路行為的審計,但在審計效果及使用者體驗上存在顯著的差異,使用者需要在産品選型時更多關注産品的核心技術路線,以避免在實施部署後,為資訊管理工作帶來麻煩。
原文釋出時間為:2017-11-02
本文作者:安華金和
本文來自雲栖社群合作夥伴51CTO,了解相關資訊可以關注51CTO。